Cyberthreat.id – Perusahaan keamanan siber Group-IB, mengungkapkan bahwa grup ransomware Deadbolt yang aktif menargetkan perangkat penyimpanan yang terpasang di jaringan atau network-attached storage (NAS) tahun ini memonetisasi upayanya dengan memeras vendor dan pelanggan akhir mereka, menurut sebuah laporan baru.

Dikutip dari Info Security Magazine, Group-IB mengatakan, dalam kampanye yang sedang berlangsung, ia telah menargetkan perangkat NAS dari vendor Taiwan QNAP milik UKM, sekolah, pengguna rumahan individu, dan lainnya menggunakan kerentanan zero-day sebagai vektor akses/serangan awal.

Group-IB mengklaim bahwa pelaku ancaman beroperasi secara global tanpa diskriminasi, menuntut antara 0,03 dan 0,05 bitcoin (kurang dari $1000) dari pengguna akhir untuk kunci dekripsi. Namun, luar biasa untuk ransomware, grup tersebut juga berusaha memeras vendor NAS itu sendiri.

“Untuk tebusan 10 BTC ($192.000), pelaku ancaman berjanji kepada vendor NAS, QNAP, bahwa mereka akan membagikan semua detail teknis yang berkaitan dengan kerentanan zero-day yang mereka manipulasi, dan untuk 50 BTC ($959.000) mereka tawarkan kepada sertakan kunci master untuk mendekripsi file milik klien vendor yang menjadi korban kampanye,” kata Group-IB dalam laporannya.

Group-IB mengatakan, tampaknya upaya untuk menargetkan QNAP ini sejauh ini tidak berhasil. Sebuah laporan dari bulan lalu mengklaim bahwa infeksi Deadbolt melonjak 674% antara Juni dan September. Dengan sebagian besar infeksi ini ditemukan di AS, dengan 2472 host menunjukkan tanda-tanda Deadbolt, diikuti oleh Jerman (1778), dan Italia (1383).

Namun, ada beberapa keberhasilan dalam perang melawan Deadbolt. Jumat lalu, polisi siber Belanda berhasil mendapatkan lebih dari 150 kunci dekripsi untuk ransomware dengan menipu operatornya.

Polisi membayar melalui bitcoin, menerima kunci dan kemudian segera menarik pembayaran mereka, meninggalkan mereka dengan kunci dekripsi yang berfungsi untuk 150 korban.

Tidak seperti kebanyakan varian ransomware saat ini, Deadbolt tidak mencuri data untuk tujuan pemerasan ganda, operator juga tidak berinteraksi dengan korbannya. Setelah pembayaran dilakukan ke grup, korban secara otomatis menerima kunci dekripsi dalam detail transaksi, jelas Grup-IB.